アタックサーフェスマネジメントから見える6,588の法人組織のサイバーリスクを調査

~平均以上のリスク指標を持つ組織は、平均未満の組織と比較して、
ランサムウェア感染確率が12倍~

2024年12月5日

トレンドマイクロ株式会社(本社:東京都新宿区、代表取締役社長 兼 CEO:エバ・チェン 東証プライム:4704、以下、トレンドマイクロ)は、法人組織のサイバーリスクを調査したブログを公開したことをお知らせします。本調査は、トレンドマイクロが提供するASRM(Attack Surface Risk Management:アタックサーフェスリスクマネジメント)機能による、法人組織のリスク状況とランサムウェアの感染状況を分析したものです※1
※1 本レポートで扱うデータは、2024年上半期(1月~6月)に統合サイバーセキュリティプラットフォームTrend Vison Oneで提供するサイバーリスク評価・管理機能であるASRMを利用し、世界6,588の法人組織を対象に分析しています。データ値は、小数点以下第三位を四捨五入した数値です。

「積極的なアタックサーフェス管理でランサムウェアリスクを低減する:プロアクティブサイバーセキュリティの実現」
ブログ全文はこちら

■ランサムウェア感染組織のリスク指標※2は非感染組織の約1.3倍高い
6,588の法人組織のうち、32の組織をランサムウェア感染を受けた可能性が高いと特定しました※3。感染組織のリスク指標の平均を計算した結果、52.38でした(図1)。一方、ランサムウェア被害を受けなかった組織のリスク指標の平均は40.25でした。感染組織と非感染組織の間には、リスク指標において12.13の差があり、約1.3倍の違いがあることが明らかになりました。また、全体平均値である40.31と比較しても感染組織のリスク指標の平均(52.38)は12.07も差があることが分かりました。
ランサムウェア感染組織と非感染組織のリスク指標分布を示すヒストグラム(図2)にすると、非感染組織ではリスク指標40がピークとなり、リスク指標40を軸に左側(リスク指標0~40)に多くの組織が分布していることが分かります。一方で感染組織では、リスク指標50がピークとなり、リスク指標30~50に多くの組織が分布していることが分かりました。
※2 組織全体のセキュリティリスクを数値化した総合指標。数値が高いほど、リスクも高いと判断します。ここではTrend Vision OneのASRMが提供する指標を使用しています。Trend Vision Oneでは、企業や組織が直面するリスク指標を評価するための点数(スコア)を算出しています。この指標は、リスク要因を「露出」「攻撃」「セキュリティ設定」の3つのカテゴリーに分類して算出されます。リスク指標の詳細はこちらをご参照ください。
※3 ランサムウェア感染の判断には、トレンドマイクロのEPP(Endpoint Protection Platform)製品からのテレメトリデータに基づくランサムノートの検出状況を使用しています。なおランサムウェア感染組織の数が全体の6,588組織に対して32組織(約0.5%)と少数であるため、統計的な偏りや偶然の影響を完全に排除することは難しく、分析の結果は傾向を示すものとなります。

図1:ランサムウェア感染および非感染組織のリスク指標比較 図1:ランサムウェア感染および非感染組織のリスク指標比較

図1:ランサムウェア感染および非感染組織のリスク指標比較

図2:ランサムウェア非感染組織(上)と感染組織(下)のリスク指標ヒストグラムの比較 図2:ランサムウェア非感染組織(上)と感染組織(下)のリスク指標ヒストグラムの比較

図2:ランサムウェア非感染組織(上)と感染組織(下)のリスク指標ヒストグラムの比較


■ランサムウェア感染確率が高まる「平均リスク指標」の境界線
リスク指標を1ポイント刻みで1から100まで閾値を設定して閾値未満と閾値以上での感染確率を計算した結果を描画すると、図3のグラフの結果になりました。このグラフからは、ランサムウェア感染確率がリスク指標40付近から急激に上昇する様子がよく分かります。今回の調査ではリスク指標の全体平均が40.31と判明していることからも、アタックサーフェスリスクマネジメントにおいて、平均リスク指標をひとつの目安に行うのも有効な一策になります※4,5
※4 リスク指標は個々の資産やリスク要因により変動します。
※5 リスク指標が60付近から閾値以上の感染確率が低下しているように見えるのは、該当する組織数が少ないためであり、実際の感染リスクが低下しているわけではないと考えられます。

図3:リスク指標を閾値とした閾値未満と閾値以上でのランサムウェア感染確率 図3:リスク指標を閾値とした閾値未満と閾値以上でのランサムウェア感染確率

図3:リスク指標を閾値とした閾値未満と閾値以上でのランサムウェア感染確率


■より効果的なアタックサーフェスマネジメントに役立つリスク指標の相対評価
ランサムウェア感染確率が急激に上昇するリスク指標の全体平均値からの差による感染確率の上昇をより直感的に示すために、リスク指標を偏差値に変換して※6グラフを作成しました(図4)。このグラフからも、全体平均付近を境としてランサムウェア感染確率が急激に上昇している様子が分かります。このことから、ランサムウェア感染対策では警戒レベルの範囲を偏差値、つまり全体平均からの相対的な差によって理解し解釈することの必要性が示唆されています。
データの傾向をより分かりやすい基準値として、以下(図4)のように偏差値45〜55の範囲を「中リスク」、それ未満を「低リスク」、それ以上を「高リスク」と分類してみると、自組織の置かれている状況が視覚的にも分かりやすくなります。
※6 平均を50としてリスク指標を換算。

図4:リスク指標偏差値を閾値とした閾値以上でのランサムウェア感染確率 図4:リスク指標偏差値を閾値とした閾値以上でのランサムウェア感染確率

図4:リスク指標偏差値を閾値とした閾値以上でのランサムウェア感染確率


■ランサムウェア感染リスクを約12倍低減するキーとなる平均リスク指標
リスク指標が全体平均値以上と未満の組織でランサムウェア感染確率にどの程度差があるかを調べてみました※7。全体平均値である40.31を閾値としてそれぞれの感染リスクを比較し算出したところ、平均以上のリスク指標を持つ組織は、平均未満の組織と比較した際に、ランサムウェア感染のリスクが12倍も高いことが明らかになりました。この事実を日々のアタックサーフェスマネジメントに取り入れるとすると、平均リスク指標を目安にすることで、ランサムウェア感染のリスクを約12倍低減できることに繋がります。
※7 算出方法の詳細はブログをご覧ください。

■まとめ
リスク指標は組織のセキュリティリスクを評価するのに有用な指標であり、その低減がランサムウェアの感染リスクの軽減につながると結論付けられます。具体的には、リスク指標を全体平均以下に抑えることが感染リスクの低減に有効です。今回の調査では、平均以上のリスク指標を持つ組織は平均未満の組織と比較した場合に、ランサムウェア感染のリスクが12倍も高いことが明らかになりました。トレンドマイクロが提供するASRMでは、リスク指標を自組織と同じ地域、組織サイズ、業種の平均値と比較して表示できます。そのような機能を活用し、自社のセキュリティリスクの現状を相対的に把握し、リスク指標を下げていくことが有効的なサイバーリスク管理に繋がります。

  • 2024年12月5日現在の情報をもとに作成したものです。今後、内容の全部もしくは一部に変更が生じる可能性があります。
  • TREND MICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。